abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 09:22 | Komunita

The Document Foundation vyhlásila soutěž o maskota svobodného kancelářského balíku LibreOffice. Návrhy lze předložit do 31. srpna. Autoři prvních tří návrhů získají věcné ceny (Slimbook KATANA Intel i5, Nextcloud box with Raspberry Pi 3 a Nitrokey Pro 3) [reddit].

Ladislav Hagara | Komentářů: 0
dnes 08:00 | Nová verze

Byla vydána nová verze 8.0.0 svobodného toolkitu pro počítačovou 3D grafiku, zpracování obrazu a vizualizaci VTK (Visualization Toolkit, Wikipedie). Z novinek vývojáři zdůrazňují VTK-m přinášející podporu mnohojádrových procesorů. Na vývoji VTK 8.0.0 se podílelo 79 vývojářů.

Ladislav Hagara | Komentářů: 0
dnes 00:11 | Nová verze

Eclipse Foundation oznámila vydání nové verze vývojového prostředí Eclipse. Eclipse 4.7 s kódovým označením Oxygen vychází rok po vydání verze 4.6 s kódovým označením Neon (zprávička) a přináší celou řadu novinek. Jejich představení také na YouTube.

Ladislav Hagara | Komentářů: 1
včera 23:33 | Zajímavý software

Před týdnem Lennart Poettering představil casync, tj. nástroj pro distribuci obrazů systémů. Dnes oficiálně představil mkosi, tj. nástroj pro generování těchto obrazů. Zdrojové kódy mkosi jsou k dispozici na GitHubu pod licencí LGPL-2.1.

Ladislav Hagara | Komentářů: 1
včera 16:00 | Bezpečnostní upozornění

Ve správci systému a služeb systemd, konkrétně v systemd-resolved, byla nalezena bezpečnostní chyba CVE-2017-9445. Útočník může vzdáleně shodit server nebo spustit libovolný příkaz.

Ladislav Hagara | Komentářů: 24
27.6. 11:33 | Pozvánky

Konference LinuxDays 2017 proběhne o víkendu 7. a 8. října v Praze v Dejvicích v prostorách FIT ČVUT. Konference OpenAlt 2017 proběhne o víkendu 4. a 5. listopadu na FIT VUT v Brně. Organizátoři konferencí vyhlásili CFP (LinuxDays, OpenAlt). Přihlaste svou přednášku nebo doporučte konference známým.

Ladislav Hagara | Komentářů: 1
27.6. 06:00 | Nová verze

Byla vydána verze 1.3.0 odlehčeného desktopového prostředí Lumina (Wikipedie, GitHub) postaveného nad toolkitem Qt. Z novinek lze zmínit nový motiv ikon nahrazující Oxygen (material-design-[light/dark]) nebo vlastní multimediální přehrávač (lumina-mediaplayer).

Ladislav Hagara | Komentářů: 2
26.6. 17:33 | Bezpečnostní upozornění

Před šesti týdny byly publikovány výsledky bezpečnostního auditu zdrojových kódů OpenVPN a nalezené bezpečnostní chyby byly opraveny ve verzi OpenVPN 2.4.2. Guido Vranken minulý týden oznámil, že v OpenVPN nalezl další čtyři bezpečnostní chyby (CVE-2017-7520, CVE-2017-7521, CVE-2017-7522 a CVE-2017-7508). Nejzávažnější z nich se týká způsobu, jakým aplikace zachází s SSL certifikáty. Vzdálený útočník může pomocí speciálně

… více »
Ladislav Hagara | Komentářů: 1
26.6. 06:55 | Zajímavý projekt

V Edici CZ.NIC vyšla kniha Průvodce labyrintem algoritmů. Kniha je ke stažení zcela zdarma (pdf) nebo lze objednat tištěnou verzi za 339 Kč (připojení přes IPv4) nebo 289 Kč (připojení přes IPv6).

Ladislav Hagara | Komentářů: 12
26.6. 06:33 | Zajímavý software

Byla vydána verze 2.2.0 svobodného správce hesel KeePassXC (Wikipedie). Jedná se o komunitní fork správce hesel KeePassX s řadou vylepšení.

Ladislav Hagara | Komentářů: 0
Chystáte se pořídit CPU AMD Ryzen?
 (7%)
 (31%)
 (1%)
 (9%)
 (44%)
 (9%)
Celkem 859 hlasů
 Komentářů: 65, poslední 1.6. 19:16
    Rozcestník

    Dotaz: openvpn poloviční bridge

    25.5.2007 21:52 vpn
    openvpn poloviční bridge
    Přečteno: 844×
    Mám klienta a server. Klient má eth0 192.168.20.5, tap0 10.1.0.2, server má eth0 192.168.0.4, tap0 10.1.0.1. Můj cíl je dostat se do sítě 192.168.0.0/24. Nevím ale jak nastavit routy. Poradíte mi? DOstal jsem se k tomu, že ze serveru pingnu na 192.168.20.5 a z klienta na 192.168.0.4, ale dál už se nedostanu.

    Odpovědi

    26.5.2007 10:30 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Prosím poraďte, můj kamarád to řeší maškarádou, ale já bych to chtěl naroutovat.
    26.5.2007 11:23 Bazin | skóre: 10 | Velvary
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Ja to řešil pomocí Bridge a na to sem spachtil takovjedle skriptík :
    #!/bin/bash
    
    #################################
    # Nastavení Skriptu pro Ethernet bridge
    #Vpn a Natování 
    #################################
    
    # nazev Brdige 
    br="br0"
    
    #VPN adapter
    tap="tap0"
    
    
    #Nastavení  sitovky
    eth="eth0"
    eth_ip="192.168.1.5"
    eth_netmask="255.255.0.0"
    #ip adresa Gateway na internet 
    gat="192.168.1.1"
    #Stop Vpn serveru
    /etc/init.d/openvpn stop
    
    #otevreme Tap0
    
    for t in $tap; do
        openvpn --mktun --dev $t
    done
    
    
    #vymazem Ip adresy 
    for t in $tap; do
    ip addr flush dev $t
    done
    
    for t in $eth; do
    ip addr flush dev $t
    done
    
    #Promsic mod nastavíme na obe sitovky
    for t in $tap; do
    ifconfig  $t promisc up
    done
    
    for t in $eth; do
    ifconfig  $t promisc up
    done
    
    #pridame br0
    brctl addbr $br
    brctl addif $br $eth
    
    for t in $tap; do
        brctl addif $br $t
    done
    
    #nazhavime br0
    
    ifconfig $br $eth_ip netmask $eth_netmask up 
    
    #startujem VPN
    
    /etc/init.d/openvpn start
    #PRIDAME GATEWAJ
    route add default gateway $gat 
    26.5.2007 10:40 mozog | skóre: 28
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    ip route add 192.168.0.0/24 via 10.1.0.1 nepomaha ?
    26.5.2007 11:29 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    To ale musim mit na klientu ne?, a to mam, jinak bych se nedostal na druhou stranu na server. Problem je v tom, ze se nenaroutuju do ty vzdaleny site na strane serveru, dostanu se jen na vsechna rozhrani toho serveru.
    26.5.2007 23:56 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Jak to naroutuju na serveru?
    27.5.2007 10:52 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    nijak dokud se to nenaučís....něco si laskavě přečti a nebo by stačilo projevit trochu snahy s vyhledáváním.
    27.5.2007 10:58 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Fakt úžasná rada, jinde jsem se akorát dočetl, že je potřeba použít maškarády, ale někdo někde napsal, že to jde i bez ní a tak mě zajímá jak????
    27.5.2007 16:29 Bazin | skóre: 10 | Velvary
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    a hele proč to chceš routovat , když to je pohodlně pomocí Bridge a neni to zas tak těžký ???
    27.5.2007 16:44 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Tak pokud se ptáš tak blbě
    Jak to naroutuju na serveru?
    tak mi to připadá, že na linuxu umíš houby. A jestli na něm umíš houby, tak by ses mohl první naučit základy a pak šťourat do pokročilejších věcí. Jinak na openvpn.net je to v howto popsané krásně krok za krokem. Jak s použitím bridge, tak i s "routováním". Vyloženě je to tam napsané jak pro "blbce". Takže začni tam.
    27.5.2007 19:09 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Routovat umím, naroutoval jsem už toho hodně. Jen tady se to nechce vůbec chytit. Postupoval jsem standartně: mám routu na tap0, takže se dostanu na druhou starnu an všechna rozhraní serveru ale dál ne, bez maškarády se nehnu, tak sakra jak to udělat? Routy na druhý straně mám taky a nefunguje to. A bridge je most mezi sítěmi, což je trochu zbytečný, když chci připojit 1 klienta ke vzdálený síti. I návody mluvěj o maškarádě u mýho řešení, tak se ptám jestli to jde i naroutovat příp jak a tak mi tady nenadávejte, když asi ani nevíte o co jde.
    28.5.2007 16:45 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    jak to máš vůbec nastavené? Jako roadwarrior, nebo tunel pro jednoho klienta? Sdílíš certifikát nebo máš pro každého klienta vlastní? Zkus tohle (rozsahy si doplň sám, udávám jen příklad):

    push "route 192.168.1.0 255.255.255.0" ... tvůj VPN klient dostává IP z tohoto rozsahu
    push "redirect-gateway" ... tzn. že vzdálený (VPN) server bude zároveň výchozí bránou. Takže cokoli co tvůj PC nezná bude posláno na něj.

    Snad nekecám, protože to píšu z hlavy. Jinak žádné jiné routování není potřeba nastavovat (alespoň ve Slackware). OpenVPN mi všechno ostatní obstaralo samo. Včetně routy, včetně IP a ostatních volovin.

    PS: vím o co jde, jinak bych se tu neunavoval.
    PS1: nenadávám ti, nastavoval jsem to taky z openvpn.net a na poprvé to chodilo.
    PS2: vykat mi teda nemusíš.
    28.5.2007 18:06 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Dobře, já už totiž nemám trpělivost, protože se to takovou dobu snažím nastavit a nic. Asi tam mám nějakou chybku ale nemážu na to kápnout. To redirect-gateway tam nechci, bránu chci mít moji. Parsnu sem konfigurák serveru a klienta. Trochu jsem pozměnil IP adresy, ale to je tam vidět.
    server:
    
    mode server
    tls-server
    dev tap0
    ifconfig 10.1.0.1 255.255.255.0
    ifconfig-pool 10.1.0.2 10.1.0.140 255.255.255.0
    push "route 192.168.1.0 255.255.255.0 10.1.0.1"
    push "dhcp-option 192.168.1.1"
    port 1194
    duplicate-cn
    
    ca /etc/openvpn/ca.crt
    cert /etc/openvpn/server.crt
    key /etc/openvpn/server.key
    dh /etc/openvpn/dh2048.pem
    
    log-append openvpn.log
    
    user openvpn
    group openvpn
    comp-lzo
    verb 3
    
    keepalive 10 120
    tls-auth ta.key 0
    
    persist-key
    persist-tun
    verb 2
    status openvpn-status.log
    
    plugin /usr/include/openvpn/auth/auth-passwd/openvpn-auth-passwd.so openvpn
    
    routy: 
    10.2.0.0/24 dev eth0  proto kernel  scope link  src 10.2.0.4
    192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.4
    10.1.0.0/24 dev tap0  proto kernel  scope link  src 10.1.0.1
    default via 192.168.1.1 dev eth0
    
    
    KLIENT:
    
    remote IP
    tls-client
    port 1194
    dev tap0
    pull
    mute 10
    
    dhcp-option DOMAIN DOMENA
    dhcp-option DNS 192.168.1.1
    
    ca ca.crt
    cert client.crt
    key client.key
    
    comp-lzo
    ping 10
    ping-restart 60
    ping-timer-rem
    verb 3
    ns-cert-type server
    
    persist-key
    persist-tun
    tls-auth ta.key 1
    
    auth-user-pass
    
    routy:
    192.168.54.0/24 dev eth0  proto kernel  scope link  src 192.168.54.5
    192.168.1.0/24 via 10.1.0.1 dev tap0
    10.1.0.0/24 dev tap0  proto kernel  scope link  src 10.1.0.2
    169.254.0.0/16 dev eth0  scope link  metric 1000
    default via 192.168.54.1 dev eth0
    
    
    30.5.2007 16:27 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    No tak prvně, máš ten konfigurák jinačí jak já. Asi jiná verze OpenVPN (1.x) já používám 2.0 ... opravdu netuším. Pak mi připadá vše OK ... jestliže máš routy v obou PC nastavené, tak by to mělo chodit. Jediný problém může být forwarding, netfilter. Nic lepšího mě nenapadá.
    30.5.2007 16:52 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Mám verzi 2, ale v tom bych problém nehledal.
    30.5.2007 19:00 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    no já mám verzi dva, vycházel jsem z konfiguráků, co jsou i na webu a chodí to naprosto super. Je to krásně a bohatě okomentované. http://openvpn.net/howto.html#server a http://openvpn.net/howto.html#client
    30.5.2007 20:49 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    No konfiguráky mi připadají ok, ale v tom návodu je tun zařízení, přes který podle manuálnu nemůžou procházet broadcast pakety a ty já potřebuju.
    31.5.2007 17:05 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    A co ti bráni tomu (tak jako mě) tun zařízení zakomentovat a použít tap? Je to přece jen vzorový konfigurák, můžeš jej pozměnit k obrazu svému. Už mě je to furt dokola, přikládám svůj a tímto se všem omlouvám za jeho délku:
    local xxx.xxx.xxx.xxx
    port 1194
    proto udp
    dev tap
    
    ca ca.crt
    cert server.crt
    key server.key
    dh dh1024.pem
    
    server 10.144.146.0 255.255.255.0
    ifconfig-pool-persist ipp.txt
    
    push "route 10.144.146.0 255.255.255.0"
    client-config-dir ccd
    push "redirect-gateway"
    push "dhcp-option DNS 10.144.144.1"
    client-to-client
    
    keepalive 10 120
    comp-lzo
    
    user nobody
    group nobody
    
    persist-key
    persist-tun
    
    status /var/log/openvpn-status.log
    log-append  /var/log/openvpn
    verb 3
    
    28.5.2007 22:29 Martel
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    možná blbej dotaz, ale co forwarding, máte povolenej?
    28.5.2007 22:58 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    To jsem se nedíval. To je pravda, pokud nenaběhl skript, kterej mi tohle nahazuje tak nemám. Ozvu se.
    29.5.2007 06:49 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Jo tak forwarding povolenej mám.
    29.5.2007 13:00 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Kde jeste hledat chybu?
    29.5.2007 23:25 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Proč neroutuje ta brána? Není potřeba nastavit nějaká prerouting aj, ve firewallu?
    30.5.2007 11:11 Martel
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    v preroute bych asi nic být nemělo, spíš jak vypadá FORWARD. Věci v PRE(POST)ROUTE by v tom zmatek udělat mohly.
    30.5.2007 10:51 Martel
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Jo a jak vypadají iptables?
    30.5.2007 10:50 Martel
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Podle pravidla "nejjednodušší chyby se nejhůř hledaj" - na compu na kterej se chceš připojit, default gateway je adresa vpn serveru?
    30.5.2007 11:08 Martel
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Máš tady uvedený různý verze IP adres, je v tom trochu zmatek. Ale na straně serveru nevidím route informaci pro síť klienta! Zkus kdyžtak traceroute z obou stran, ať je vidět, kam ty pakety dolezou.
    30.5.2007 12:53 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Tabulky v iptables mám prázdý. Já spíš myslel, jestli tam nemá být něco nastaveno. Ta route informace i když tam byla, tak to nejele. A ta default gateway na serveru není adresa vpn serveru, ale to by snad nemělo vadit ne? I když jsem nastavil source base routing, tak to nepomohlo. Nastavil jsem: pokud provoz přichází od klienta 192.168.54.5, máš defaultní bránu ip adresu vpn serveru.
    31.5.2007 06:25 misace
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge

    ještě musí být v síti na straně serveru (192.168.0.0/24) routovací záznam, že vše co jde ke klientovi (192.168.20.5, 10.1.0.2) neposílej na defaultní bránu, ale na ovpn server. Budto se ta routa přidá na počítače na který chceš přistupovat nebo na defaultní bránu sítě 192.168.0.0 .

    Bez toho ti paket na cílový počítač dojde, ale odpověd se pak z něj špatně pošle na defaultní bránu někam do internetu...

    31.5.2007 11:46 Martel
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Přesně to jsem chtěl říct předchozím dotazem
    31.5.2007 18:03 vpn
    Rozbalit Rozbalit vše Re: openvpn poloviční bridge
    Tak malá změna. Klient:
    root@vasek:/home/vasek# ping 192.168.1.5
    PING 192.168.1.5 (192.168.1.5) 56(84) bytes of data.
    From 10.1.0.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.1.5)
    From 10.1.0.1: icmp_seq=3 Redirect Host(New nexthop: 192.168.1.5)
    From 10.1.0.1 icmp_seq=1 Destination Host Unreachable
    From 10.1.0.1 icmp_seq=2 Destination Host Unreachable
    From 10.1.0.1 icmp_seq=3 Destination Host Unreachable
    From 10.1.0.1: icmp_seq=4 Redirect Host(New nexthop: 192.168.1.5)
    From 10.1.0.1: icmp_seq=5 Redirect Host(New nexthop: 192.168.1.5)
    
    --- 192.168.1.5 ping statistics ---
    5 packets transmitted, 0 received, +3 errors, 100% packet loss, time 4013ms
    , pipe 4
    root@vasek:/home/vasek# traceroute 192.168.1.5
    traceroute to 192.168.1.5 (192.168.1.5), 30 hops max, 52 byte packets
     1  10.1.0.1 (10.1.0.1)  7.824 ms  7.555 ms  6.295 ms
     2  10.1.0.1 (10.1.0.1)  3023.844 ms !H  3012.871 ms !H  3014.189 ms !H
    
    server:
    server:~# ip route list table main
    192.168.54.0/24 dev eth0  proto kernel  scope link  src 10.1.0.1
    10.2.0.0/24 dev eth0  proto kernel  scope link  src 10.2.0.4
    192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.4
    10.1.0.0/24 dev tap0  proto kernel  scope link  src 10.1.0.1
    default via 192.168.1.1 dev eth0
    
    server:~# ip route list table tab2
    default via 10.1.0.1 dev tap0
    
    server:~# ip rule
    0:      from all lookup 255
    201:    from 10.1.0.0/24 to 192.168.1.0/24 lookup tab2
    201:    from 192.168.54.0/24 to 192.168.1.0/24 lookup tab2
    201:    from all to 192.168.54.0/24 lookup tab2
    201:    from all to 10.1.0.0/24 lookup tab2
    32766:  from all lookup main
    32767:  from all lookup default
    
    31.5.2007 19:15 Martel
    Rozbalit Rozbalit vše tak teď už je v tom totální mrd.ník
    jaký adresy mají konce toho tapu. Zkus nějak nakreslit topologii tý sítě. A popsat co by to mělo dělat. co má být to rozhraní 10.2.0.4? síť 192.168.54.0 je fakt dosažitelná přez eth0?
    31.5.2007 22:59 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    192.168.1.0/24
    192.168.54.0/24 - klient 192.168.54.5
      |
    ROUTER
    eth0 192.168.1.1
    eth0:1 192.168.54.1
      |
    internet
      |
    ROUTER
    eth0 192.168.1.1
      |
    192.168.1.0/24
      |
    openvpn server
    eth0 192.168.1.4
    tap0 10.1.0.1
    
    
    Můj cíl je dostat se z 192.168.54.5 do 192.168.1.0/24 skrze openvpn server.
    31.5.2007 23:05 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Vítězství, už to jede, stačilo nahradit jeden řádek za 192.168.54.0/24 via 10.1.0.1 dev tap0 a odstranit tabulku tab2.
    31.5.2007 23:07 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Tak ne, byl to planý poplach, omylem jsem nechal po restartu serveru zaplou maškarádu :(
    31.5.2007 23:20 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    No tak jak je to nakreslené to určitě chodit nebude. 1. nějak nevidím na straně klienta konec sítě 10.1.0.X 2. na straně klienta je taky síť 102.168.1.X

    Proč to nepostavit jednoduše?

    eth0:192.168.54.X tun: 10.1.0.1 I I internet I I VPN server tun: 10.1.0.2 eth0: 192.168.1.Y ----------------------- PC 192.168.1.Z I----- PC I----- PC

    Vynechávám routery - skrz ně je třeba natovat provoz na VPN server (pokud není součástí hraničního routeru)
    31.5.2007 23:23 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    nějak jsem zapoměl na pre
    31.5.2007 23:22 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    No tak jak je to nakreslené to určitě chodit nebude. 1. nějak nevidím na straně klienta konec sítě 10.1.0.X 2. na straně klienta je taky síť 102.168.1.X

    Proč to nepostavit jednoduše?
    eth0:192.168.54.X
    tun: 10.1.0.1
       I
       I
    internet
       I
       I
    VPN server
    tun: 10.1.0.2
    eth0: 192.168.1.Y ----------------------- PC 192.168.1.Z
                                       I----- PC
                                       I----- PC
    
    
    Vynechávám routery - skrz ně je třeba natovat provoz na VPN server (pokud není součástí hraničního routeru)
    31.5.2007 23:29 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Ten klient má ještě samozřejmě jedno rozhraní tap0 10.1.0.2. A tak nějak jak jsi to nakreslil bych to chtěl, akorád, že vpn server je normálně součástí sítě, je píchlej do switche jako ostatní počítače, ty nejsou za ním.
    31.5.2007 23:31 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    To, že je za routrem nevadí, ale musíš provoz na jeho port Dnat-ovat skrz router (pokud teda nemáš další veřejné IP adresy).
    31.5.2007 23:35 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Ve firmě jsme měli (vlastně do půlnoci ještě máme) takhle propojenejch 20 poboček.
    31.5.2007 23:41 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Nakonfiguruj si normálně klasicky VPN tunel mezi 2 PC. Jedno PC bude vpn server. Aspoň jedno PC ale musí mít veřejnou adresu (nebo musíš udělat DNAT na jeho port). Pokud použiješ DNAT, musíš na druhé straně dát do confu parametr FLOAT. směrování nastavíš na routeru tak, že provoz na 192.168.54.0/24 bude přeposílat na vpn server.
    31.5.2007 23:50 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Z toho výpisu pingu u klienta vidíš, že vpn posílá klientovi zpátky ICMP paket s informací, že klient má přímé spojení se 192.168.1.5 Vpn se pak sám pokouší přeposlat paket na 192.168.1.5, což mu ale logicky nevyjde, protože 192.168.1.5 je na druhém konci tunelu. Protože ale máš síť 192.168.1.0 na obou koncích, nemá smysl posílat do ní paket tunelem.
    1.6.2007 00:04 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Já se potřebuju dostat do tý vzdálený sítě 192.168.1.0/24, nepotřebuju, aby se vzdálená síť dostala do mé sítě, stačí mi když se dostane ke mě, takže by 192.168.54.5 mělo stačit, na klientský straně je ta síť 192.168.1.0 jen kvůli kompatibilitě jednoho klienta, já jí vůbec jinak nepoužívám na klientský straně. Ale jinak, proč si to myslí, že 192.168.1.5 je i u klienta a nesnaží se to rvát přes tunel?
    1.6.2007 00:27 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    No to, že 192.168.1.5 je na klientský straně vyplývá z toho, že na klientský straně je taky síť 192.168.1.0. Nastuduj si, jak probíhá směrování v TCPIP. Pokud je síťová část cílové adresy paketu shodná se síťovou částí adresy některého rozhraní, je posílána přímo přez toto rozhraní.
    1.6.2007 06:39 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    No ale 192.168.1.5 v klientský síti ani není. A ani nemám standartně nastavený směrování do tý sítě.
    1.6.2007 10:34 Martel
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Jo, ale na LAN rozhraní klienta máš adresu ze sítě 192.168.1.0
    1.6.2007 10:53 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Tak teď jsem to asi špatně pochopil. Na klientu nemám ip adresu ze sítě 192.168.1.0, je sice fakt, že je spojenej přes stejnej switch ze sítí 192.168.1.0/24, ale všechno routování na 192.168.1.0/24 jde přece přes tap0.
    1.6.2007 14:27 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Tak jsem tu klientskou sít převedl kompletně na 192.168.54.0/24 a žádná změna, takže to tím nebylo.
    1.6.2007 20:26 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Ani podle originálního návodu to nejede. :( .............
    2.6.2007 08:24 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Mimochodem, proč ti nedělá VPN server přímo hraniční router s internetem (myslím tedy iGW)? Pokud je to píchlé do switche musíš přidat na iGW patřičná pravidla do iptables, aby byl veškerý provoz na port 1194 přesměrován na VPN stroj, ale ten stroj musí zároveň mít v routovací tabulce informace o všech subnetech se u tebe vyskytujících. Myslím, že kdybys udělal VPN přímo na iGW ubydou ti starosti. Možná to máš kvůli shapingu, ale to mě napadlo až teď.
    2.6.2007 08:18 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Rozepiš to laskavě pořádně. Nic jako eth0:1 neexistuje. Buď rád, že se diskuze neúčastní p. Kubeček. By ti dal. Smím vědět, proč máš na jednom rozhraní dvě IP adresy? Má to nějaký konkrétní smysl?
    2.6.2007 11:17 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Smysl to má dočasný kvůli 1 pc v síti a taky kvůli pokusům. Jinak vpn server je umístěn za routerem taky trochu z technických a blbostních důvodů, port je přesměrován a není shapován. Pokud udělám při pokusu nakonfigurovat openvpn server nějakou botu a openvpn server lehne, nepoznamená to důležitý router. A ty informace o subnetech, tím myslíš konkrétně udělat co?
    2.6.2007 16:45 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Tak jsem dal ten openvpn server na ten router a jsem na tom úplně stejně.
    2.6.2007 18:04 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    Znova jsem si to prohlédl a napsal na papír a nechápu jednu věc. Takže ty máš na jenom konci internetu (tunelu) subnet 192.168.1.0/24 a na druhém konci internetu (tunelu) máš taky subnet 192.168.1.0/24. Pominu-li tu síť 192.168.54.0/24, kterou tam máš z pokusných důvodů, tak vidím na obou koncích tytéž subnety. To ti ale nebude chodit (leda bridge, ale v tom případě oba routery nesmí mít 192.168.1.1). Musíš na jednom konci prostě použít jiný subnet. Na pokusné IP subnety se vykašli a té mašině, se kterou to zkoušíš, dej normální IP z toho samého subnetu, který používáš normálně na síti. Jednak to zjednodušíš a je-li tam chyba, tak ji neuděláš. Zkus to a dej vědět.
    2.6.2007 18:21 Opičák | skóre: 18 | blog: Opicakovy_blaboly
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    kecám :-) to by platilo pro obyčejný P2P tunel :-)
    2.6.2007 18:28 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    EE, 192.168.1.0/24 na klientský straně je z pokusných důvodů. Ale teď už je to jedno, co jsem to dal na router a přidal volbu local, už to jede, díky za rady.
    2.6.2007 18:05 vpn
    Rozbalit Rozbalit vše Re: tak teď už je v tom totální mrd.ník
    HHHUUURRRÁAA, už to jede. Stačilo v server.conf uvést local VER_IP_ADRESA.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.